Veri güvenliğine önemli bir darbe olarak, Kuzey İrlanda Polis Teşkilatı (PSNI) bu hafta büyük bir veri ihlalinin kurbanı oldu ve bu da hassas bilgilerin hem memurlara hem de vatandaşlara ifşa edilmesiyle sonuçlanarak ulusal güvenlik için olası sonuçlarla ilgili endişeleri artırdı. ve kişisel mahremiyet.
İhlal, polis personelinin kişisel bilgileri, gizli dava dosyaları ve hatta potansiyel olarak operasyonel taktikler dahil olmak üzere son derece hassas verileri tehlikeye attı. İhlalin devam eden soruşturmalar ve gizli görevliler hakkındaki bilgileri içerecek şekilde genişletilebileceğine inanılıyor ve bu da kanun uygulama çabaları için ciddi bir tehdit oluşturuyor.
Soruşturma henüz başlangıç aşamasında olduğu için yetkililer ihlalin tam boyutunu henüz tespit edemedi. PSNI, siber güvenlik uzmanlarıyla işbirliği içinde ihlali kontrol altına almak ve hasarı değerlendirmek için derhal önlemler aldı. Uzmanlık ve destek sağlamak için Ulusal Siber Güvenlik Merkezi (NCSC) de çağrıldı.
Haberler hakkında yorum yapan ve içgörü sunan aşağıdaki siber güvenlik uzmanları:
Comforte AG siber güvenlik uzmanı Erfan Shadabi:
Bir veri ihlali, hassas PII veya PHI’nin yakalanıp ifşa edilmesiyle yakalanan herhangi bir şirket veya birey için bir karmaşa olabilir. Kuzey İrlanda Polis Teşkilatının (PSNI) hayati polis bilgilerini açığa çıkaran ciddi bir veri ihlaline maruz kaldığına dair haberler, kötü siber güvenlik uygulamalarından kaynaklanabilecek önemli sonuçların kesin bir hatırlatıcısıdır. Böyle bir olay güveni aşındırır, bireysel güvenliği etkiler ve ağır yasal ve düzenleyici sonuçlara yol açar. Tüm kuruluşlar, özellikle hassas veriler söz konusu olduğunda, veri merkezli güvenlik önlemlerine öncelik vermelidir. Kuruluşlar, sağlam veri merkezli güvenlik stratejileri benimseyerek hassas bilgileri özünde koruyabilir ve olası ihlallerin etkisini azaltabilir. Şifrelenmiş veriler, katı erişim kontrolleri ve sürekli izleme, kişisel verileri etkili bir şekilde korumak için gerekli bileşenlerdir.”
Gemserv veri gizliliği başkanı Camilla Winlo:
“Görünüşe göre Kuzey İrlanda Polis Teşkilatı (PSNI) kişisel veri ihlaline, Bilgi Edinme Özgürlüğü talep yanıtına fazla bilgi dahil edilmesi neden oldu. Raporlara göre, istek sahibinin istediği özet verilerin yanı sıra kaynak veriler de dahil edildi. Bu, yapılması kolay bir hatadır, bu nedenle yerinde iyi kontroller olduğundan emin olmak özellikle önemlidir. Bu durumda raporlar, hatanın oldukça hızlı bir şekilde tanımlandığını ve kişisel veri dosyasının bir saat içinde kaldırıldığını gösteriyor. Ancak bu tür bilgilere erişilmesi ve potansiyel olarak kopyalanması uzun sürmez. 2019’da, fazla kişisel verilerin Kabine Ofisi tarafından Yeni Yıl Onur Listesi ile birlikte yayınlandığı benzer bir ihlal yaşandı. ICO’ya göre, 2 saat 21 dakikada çevrimiçi olarak erişilebilir hale geldi, 3.872 kez erişildi.
Kanımca, Bilgi Edinme Özgürlüğü Yasası ve veri koruma mevzuatı kapsamındaki bilgi talepleri her zaman potansiyel kişisel veri ihlali olarak ele alınmalı ve çok dikkatli bir şekilde ele alınmalıdır. Daha önce kuruluş dışında erişilemeyen bilgilerin sağlanmasıyla sonuçlanacak şekilde tasarlanmıştır. Bu talepleri ele alan kuruluşların bir risk değerlendirmesi yapması ve yanıt verilmeden önce ne tür teknik ve kurumsal önlemlerin alınması gerektiğini düşünmesi gerçekten önemlidir. Polis memurlarıyla ilgili kişisel verilerin ve bu kişilere yönelik bilinen bir tehdidin bulunduğu bu gibi bir durumda, temel verilerin veri tabanından çıkarılmasına izin vermeden özet istatistikler oluşturabilen iş bilgi sistemlerinin kullanılması makul kontroller olabilirdi. ve web sitesinde yayınlanmak üzere dosyaya yalnızca özet bilgilerin dahil edildiğinin kontrol edilmesi.”
Peter Arntz, Kötü Amaçlı Yazılım İstihbarat Araştırmacısı, Malwarebytes
“Bazen veri ihlallerinde gördüğümüz gibi, kötü niyetli bir niyet yoktu, ancak bu bir insan hatasıydı. Bununla birlikte, insan hataları, herkesin tam olarak ne yapıp ne yapmayacağını bilmesine bağlı olarak tasarlanmış güvenlik önlemlerindeki veya protokollerdeki bazı gözetimlerle her zaman mümkün kılınmıştır.
Bunu, birçok hizmetin parolalara bağlı olmasıyla karşılaştırabilirsiniz. İnsanların hatırlamaları imkansız olacak kadar karmaşık olması gereken yüzlerce şifreyi takip etmelerini bekliyoruz. Ama aynı zamanda, bu kişileri bir post-it’e yazarlarsa veya birkaç site için şifreyi yeniden kullanırlarsa suçlarız.
İnsanları eğitmenin sınırları vardır, bazen altta yatan teknoloji çözmeye çalıştığımız sorun için doğru olmayabilir.”